WLC und VLANs

Dieses Thema im Forum "Bintec" wurde erstellt von cyb0rg, 4. Dezember 2019.

  1. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Hallo,

    ich habe eine be.IP plus und einen W2022ac im Einsatz. Hierbei möchte ich sinnvollerweise den WLAN Controller der be.IP plus nutzen.

    Im Moment habe ich es folgendermaßen konfiguriert:
    - br0 (default) mit en1-0 und vss7-10. Die Bridge wird bei Nutzung des WLCs automatisch erzeugt
    - en1-1 (Routing-Modus)

    Per WLC habe ich VLANs konfiguriert, sagen wir z.B. VLAN2 im Netz 192.168.2.0/24. Dadurch entsteht unter IP-Konfiguration automatisch br0-1(VLAN2) mit der vergebenen Router-Adresse z.B. 192.168.2.254/24.

    Auf en1-1 habe ich unter IP-Konfiguration ebenfalls VLAN2 mit z.B. der Router-Adresse 192.168.3.254/24 definiert.

    Ich kann mich nun per Smartphone mit dem WLAN verbinden, erhalte per DHCP eine IP-Adresse aus dem im WLC definierten Bereich (192.168.2.x) und kann auch auf Geräte im gleichen VLAN, die per LAN-Kabel angebunden sind zugreifen, soweit so gut.

    Ich würde aber gerne ein gemeinsames LAN (=gemeinsamer Adressbereich) aus Drahtlos- und kabelgebundenen Geräten haben. Ohne die Nutzung des WLCs ist dies problemlos möglich (br0 mit en1-0, vss7-10, welche beide Mitglieder von VLAN2 sind, wobei das Netz 192.168.2.0/24 dann für br0(VLAN2) konfiguriert werden kann).

    Ist solch eine Konfiguration mit dem WLC nicht möglich?

    Gruß,
    cyb0rg
     
  2. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Hmm, keiner, der den WLC in Kombination mit VLANs kennt?

    Hier nochmal meine Frage in kurz: Wie kann ich ein Netz (z.B. 192.168.2.0/24), was durch ein VLAN separiert ist (z.B: VLAN2) über einen LAN-Port und eine WLAN-SSID erstrecken bei Nutzung des WLAN Controllers?
     
  3. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    Hi,

    willkommen im Forum.

    Wenn sich in nicht in irgendeinem Firmware-Release von bintec etwas Entscheidendes geändert hat: Dann geht das, was du machen willst, gar nicht.

    Früher - und eventuell auch heute noch - verschwand das VLAN-Menü, wenn man den WLAN-Controller eingeschaltet hat. Wo kein VLAN-Menü, da keine VLAN Konfigurationsmöglichkeit. Das ist übrigens kein Bug, sondern von bintec so gewollt :rolleyes:. Gibt es unter "LAN" bei dir ein VLAN-Eintrag? Bei eingeschaltetem WLC, natürlich.

    VG
     
  4. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Hi,

    das VLAN-Menü an sich existiert, aber es können keine VLANs mehr konfiguriert werden bei aktiviertem WLAN-Controller. Die VLANs können aber im WLAN-Controller unter "Wizard / Wireless LAN Controller VLAN Konfiguration" angelegt werden.

    Ich denke, die VLANs sind auch nicht direkt mein Problem. Mein Hauptproblem ist, dass ich kein Netz konfigurieren kann, was sich gleichzeitig über LAN und WLAN erstreckt. Ich benötige das aber für diverse (Drahlos-) Apps und Programme, die ihre Kommunikationspartner nur finden, wenn diese im gleichen Netz sind.

    Gruß,
    cyb0rg
     
  5. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    Hi,

    mir ist schon klar, dass du eine Layer 2 Verbindung zwischen WLAN- und Ethernet-Ports haben möchtest.

    Bridges - bei bintec "Bridge-Gruppe" - konfiguriert man unter "Systemverwaltung->Bridge-Gruppen". Dort kann man WLAN-Interface mit Ethernet-Interfaces in einer Bridge zusammenfassen. Das wird aber - wie ich vermute - nicht mit der vom WLC automatisch konfigurierten Bridge br0 funktionieren.

    Wenn du innerhalb einer Bridge die Kommunikation zwischen Ports, ob WLAN oder Ethernet, erlauben willst, dann müssen sie sich im selben VLAN befinden. Insofern spielt das VLAN und die VLAN-Konfiguration eine erhebliche Rolle, wenn sich die im WLC konfigurierten WLAN-Interfaces in einem anderen VLAN befinden als dem Management VLAN.

    Also noch mal: Mit WLC lässt sich weder die Bridge-Gruppe (br0) frei konfigurieren, noch die VLANs innerhalb der Bridge bezogen auf Ethernet-Interfaces. Das ist mein Informationsstand. Da ich den WLC von bintec nicht benutze - so viel Geld für die APs und eine erweiterte WLC Management-Lizenz will ich nicht investieren -, kann ich den aktuellen Stand der Implementierung nicht nachvollziehen. Aber ich denke, da wird sich nicht viel getan haben bei bintec...

    VG
     
  6. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Das Enttäuschende ist, dass bei Nutzung des WLAN-Controllers offenbar grundlegende Funktionalität verloren geht, nämlich dass eine Bridge aus LAN+WLAN genutzt werden kann (was aber meiner Meinung nach eine gängige Anforderung ist, die z.B. jede FRITZ!Box beherrscht, natürlich reduziert auf ein Netz).

    Knackpunkt scheint die automatisch angelegte br0 aus en1-0 und vss7-10, vss7-11, etc. zu sein. Nach der VLAN-Konfiguration mittels WLC sind unter LAN/IP-Konfiguration br0(VLAN1), br0-1(VLAN2), etc. vorhanden. Über den physikalischen LAN-Port 1 (en1-0) wird aber meiner Erfahrung nach ausschließlich mit APs kommuniziert (untagged). Eine Erweiterung der Brigde um zusätzliche LAN-Ports würde nur die AP-Kommunikation auf weitere physikalische Ports erweitern. Wenn der physikalische Port en1-0 nicht nur für die AP-Kommunikation (z.B. per tagged VLAN1) genutzt, sondern sämtliche konfigurierte VLANs darüber ausgeleitet würden, wäre mein Problem gelöst. Das sind aber alles meine Erfahrungen, dokumentiert ist das bei Bintec leider nicht wirklich.

    So überlege ich ernsthaft, die Bintec-Komponenten abzulösen. Gibt es vergleichbare Alternativen zu Bintec?
     
  7. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    #7 CapFloor, 8. Dezember 2019
    Zuletzt bearbeitet: 8. Dezember 2019
    Hi,
    was WLC Lösungen angeht, die man mit einer be.ip plus als Zugangsrouter und Telefonanlage kombinieren kann, ganz sicher. Vielleicht wäre das WLC Angebot von TP-Link was für dich oder von Ubiquiti. Wenn du die Telefonie in der be.ip nicht brauchst, dann kannst du natürlich auch den Zugangsrouter von Ubiquiti nehmen. Dann hast du unter einer Oberfläche ähnlich der von Fritzboxen (also bunt und viel Klimbim;)) ziemlich viel Netzwerk-Funktionalität.

    VG
     
  8. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    593
    Punkte für Erfolge:
    18
    Das VLAN2 auf dem LAN - Port br0-1 ist tagged, und somit brauchst du nur einen VLAN - fähigen Switch anzuschließen.
     
    cyb0rg hat sich bedankt.
  9. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Hallo Kalle,

    danke für den Gedankenanstoß, so funktioniert es!

    Die br0 finde ich extremst verwirrend. Mir war nicht bewusst, dass über den LAN-Port tatsächlich auch VLANs laufen. Hintergrund: Nachdem ich VSSe mit VLANs per WLC konfiguriert habe, tauchen die Netze unter LAN/IP-Konfiguration auf. Dort ist auch der Eintrag für br0 vorhanden. Die IP-Adresse dieses Eintrags ist die IP-Adresse des WLCs in der be.IP plus.

    Bei br0 ist VLAN1 TAGGED konfiguriert (automatisch durch den WLC). Sobald ich im angeschlossenen Switch auf dem Port VLAN1 tagged konfiguriere, ist aber keine Kommunikation mehr zur WLC-IP möglich. Konfiguriere ich ein untagged VLAN, ist die Kommunikation möglich. Dieses Verhalten verstehe ich nicht, wieso wird br0 als VLAN1 tagged angezeigt, die Kommunikation findet aber ohne VLAN-Tag statt?

    Aufgrund dieses Verhaltens hatte ich abgeleitet, dass an en1-0 ausschließlich (untagged) die Kommunikation mit den APs stattfindet. Anscheinend aber ja nicht ausschließlich. Wie funktioniert eigentlich die Kommunikation von AP zur be.IP plus? Wenn ein Drahtlosgerät mit dem AP verbunden ist über ein Netz, was zu VLAN2 gehört, werden die Datenpakete vom AP zur be.IP plus untagged übertragen, richtig? Ist es damit nicht zwingend erforderlich, diesen "Kanal" mit einem ungenutzten VLAN in den Switches (untagged) zu isolieren?

    Gruß,
    cyb0rg
     
  10. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    Hi,

    auch an einem VLAN Trunk Ports - wie eth1-0 -, muss nicht alles getaggt übertragen werden. Ein VLAN, üblicherweise das Management-VLAN, kann auch untagged über den Port laufen. Dazu hat sich offensichtlich bintec entschieden. Das hat den Vorteil, dass auch die Initialkommunikation im Management-VLAN keine VLAN-Konfiguration von aktiven Netzwerk-Komponenten auf dem Weg vom AP zum WLC benötigt. Der VLAN-Tag in der Konfiguration von "br0" sagt übrigens nichts über das taggen oder nicht-taggen der Netzwerk-Pakete auf eth1-0 im VLAN#1 aus. Die Ports einer Bridge können Mitglied eines VLANs sein und trotzdem untaggt Pakete verschicken und empfangen. Das sind üblicherweise Access-Ports. Oder eben Trunk-Ports wie oben beschrieben.

    Alle anderen VLANs auf dem Trunk-Port werden natürlich getaggt übertragen.

    Also insgesamt ist das alles im validen Bereich einer VLAN-Konfiguration.

    VG
     
  11. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Also wenn ich br0 bearbeite, dann steht da VLAN-ID 1, TAGGED. Wo wenn nicht dort soll denn konfiguriert werden, ob Pakete mit oder ohne Tag versendet werden?
     
  12. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    Hi,

    in der VLAN-Einstellung von br0 steht für Port eth1-0, dass über eth0-1 die Pakete mit VID #1 getaggt übertragen werden? Poste doch bitte mal einen Screenshot.

    VG
     
  13. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    593
    Punkte für Erfolge:
    18
    Die Anzeige "tagged" bei br0 für VLAN-ID 1 könnte auch ein Anzeigefehler in der be.IP plus sein. Ich werde das mal bei bintec elmeg nachfragen.
     
  14. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    Hi,
    das kannst du natürlich gerne machen. Aber wenn die Konfiguration der br0 so wie hier aussieht:

    br0-VLAN.JPG

    dann hat das nicht das geringste mit der VLAN-Konfiguration irgendeines Member-Ports der Bridge zu tun. Ob der Member-Port eth1-0 getaggte Pakete überträgt oder nicht, wird nicht in der Konfiguration des Bridge-Interfaces (wie oben dargestellt) bestimmt, sondern in der VLAN-Konfiguration der Ports innerhalb der Bridge.

    VG

    PS: Ich habe das grundsätzliche Funktionsprinzip schon mal - hier - beschrieben.
     
  15. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Die Konfiguration der br0 ist so wie auf dem von Dir verknüpften Screenshot.

    Das ist die einzige Stelle, wo ich ein VLAN an br0 konfigurieren kann bei aktiviertem WLC. Weitere VLAN-Konfigurationen z.B. unter LAN/VLAN sind nicht möglich.
     
  16. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    Hi,
    Genau. Deshalb kannst du das Verhalten von eth1-0 bzgl. VLAN (taggt oder nicht) gar nicht beeinflussen, wenn du den WLC benutzt. Diese Entmündigung des Users durch bintec in diesem Fall muss man nicht gut finden, ist aber leider so. Für mich ein Grund mehr, den WLC im bintec nicht zu nutzen.

    Ansonsten - also ohne WLC, aber mit VLAN-Konfiguration - kann man selbstverständlich das Taggen von Paketen pro Bridge-Port einstellen, so wie hier:

    VLANs-tag-untag.JPG

    bintec hat sich in seiner versteckten Konfiguration der VLANs bei Nutzung des WLC dafür entschieden, den Ethernet-Port im Management-VLAN, das auch fest auf 1 eingestellt ist (oder?), nicht zu taggen und auch nicht-getaggte Pakete anzunehmen.

    Hinzu kommt, glaube ich zumindest, dass man keine anderen (Ethernet-)Ports zusätzlich in die automatisch generierte WLC-Bridge-Konfiguration aufnehmen kann...

    Aber du hast wenigstens die Layer 2 Konnektivität zwischen dem eth1-0 und dein WLAN-Interfaces in allen konfigurierten VLANs.

    Ist doch schon was...;)

    VG
     
    cyb0rg hat sich bedankt.
  17. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Finde ich definitiv nicht gut. Auf den WLC möchte ich im Zusammenhang mit dem Bintec AP aber nicht wirklich verzichten.

    Nur diese Konfiguration weder im Detail zu beschreiben, noch den Zugang zu den Informationen mittels GUI zuzulassen ist schon komisch.

    Wenn ich die be.IP plus unter Slave-AP-Konfiguration deaktiviere, taucht das LAN/VLAN-Menü übrigens auf. Wie von Dir beschrieben gibt es dort VLAN1 (WLC_MGMT_VLAN) was ausgehend auf en1-0 untagged konfiguriert ist und dessen PVID VLAN-ID1 ist. Wenn man dieses Menü direkt sehen könnte, wäre einiges klarer gewesen. Oder ein kleines Schaubild in der Anleitung hätte auch vieles erleichert.

    Meine Beschreibung von weiter oben, dass am AP-Port im Switch keine VLANs konfiguriert werden müssen ist übrigens falsch. Auch dieser Switch-Port muss die gewünschten VLANs (tagged) konfiguriert haben, sowie VLAN1 untagged. Bzw. ich habe wie zuvor geschrieben an den Switch-Ports für AP sowie en1-0 der be.IP plus ein nicht genutztes VLAN untagged konfiguriert, damit der "Management-Verkehr" zwischen Router und AP abgeschottet ist.

    Gruß,
    cyb0rg
     
    CapFloor hat sich bedankt.
  18. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    593
    Punkte für Erfolge:
    18
    Das hat mit "Entmündigung" nichts zu tun. Der Grund ist ein ganz anderer: Es darf nur ein Dienst in der be.IP plus die VLAN - Konfiguration vornehmen, sonst gibt es Chaos. Wegen des WLAN über nimmt der WLC diese Aufgabe, und da hat sich bintec elmeg den Aufwand gespart, diese ganzen Optionen für die VLAN - Konfiguration auch noch in das WLC - Management einzubauen.
     
    CapFloor hat sich bedankt.
  19. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    Hi,
    muss man ja auch nicht, wenn man weiß, wie die nicht-sichtbare Konfiguration der VLANs bei bintec funktioniert.
    Das ist schon ok:up:. Es ist eben nur so, dass andere Hersteller eher das Chaos bevorzugen und dafür den Benutzer - auch mit WLC-Konfiguration - die VLANs selbst konfigurieren lassen.:cool:

    VG
     
  20. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Gleichzeitig können aber auch andere VLANs, die an Schnittstellen außerhalb der durch den WLC genutzten br0 konfiguriert sind (z.B. an en1-1, en1-2, en1-3) nicht mehr konfiguriert werden, da das komplette VLAN-Menü abgeschaltet wird.